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Beschreibung 

Die Erfindung betriff ein Verfahren zum abgesicherten Zugriff auf Daten in ei- 
nem Netzwerk, im Speziellen in einem Netzwerk mit einem Informationscenter 
und wenigstens einem Datenraum-Zugriffssystem, wobei unter dem Begriff Da- 
tenraum-Zugriffssystem eine Einrichtung verstanden wird, die Speicherplatz 
(Datenraum) zur VerfQgung stellt und den Zugriff auf gespeicherte Daten ermdg- 
licht. 

In der nahen Zukiinft sollen fur unterschiedliche Interessengruppen eines 6f- 
fentlichen oder privaten Sektors beispielsweise im Gesundheitswesen, etwa fur 
die Krankenkassen, das Gesundheitsministerium und medizinische Zusammen- 
schlusse, die sogenannten "Praxisnetze" entwickelt werden. Der Grundgedanke 
dieser Praxisnetze ist es, daJS aufgrund einer besseren Kommunikation zwischen 
unterschiedlichen Arztpraxen und/oder Krankenhausern zur Zeit haufig noch 
redundant ausgefuhrte medizinische Untersuchungen reduziert werden konnen. 
15 In diesem Sinne ware es z. B. nicht notig. ein weiteres Rontgenbild einer Lunge 
eines Patienten zu erstellen, wenn eine erneute Diagnose z. B. eines anderen 
Arztes unter Zuhilfenahme eines leicht zuganglichen kurzlich aufgenommenen 
Rontgenbildes der Lunge dieses Patienten moglich ware. Es liegt im offentlichen 
Interesse und dem der Versicherungsgesellschaften, die Gesundheitskosten zu 
20 reduzieren, weswegen insbesondere letztere autonome medizinische Netzwerke 
aufbauen mdchten. mit deren Hilfe unterschiedliche Arzte eines Patienten zu 
seiner besseren und kostengunstigeren medizinischen Versorgung auch auf die 
bereits von ihren Kollegen erstellten Daten dieses Patienten zugreifen konnen. 


25 Bei heute schon aufgebauten Versuchsmodellen besteht das Hauptproblem dar- 
in, eine sichere Kommunikation zu gewahrleisten. Es sind unterschiedliche Lo- 
sungen der Verbindung eines Arztes zu medizinischen Einheiten bekannt, die 
hauptsachlich auf eine bestimmte Gruppe von Arzten begrenzt sind, z. B. die 
Radiologen. wobei naturgemaJS eine Beschrankung auf eine spezielle Art der In- 

30 formation/Daten vorgegeben ist t z. B. Rontgenaufnahmen. 

Es existieren schon einige nationale und internationale Standards, die die Art 
der Erzeugung und Obertragung von medizinischen Daten definieren, z. B. DI- 
COM fur Rontgenaufnahmen, BDT fur die Daten eines Patienten, GDT fur medi- 
zinische Daten, die von medizinischen Geraten erzeugt wurden, z. B. von einem 
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Elektrokardiographen Oder anderen Einrichtungen. Hierbei werden hinsichtlich 
der abgesicherten Obertragung von medizinischen Daten keine speziellen Anfor- 
derungen gestellt. da dies aufgrund unterschiedlicher bekannter Verschliisse- 
lungsmechanismen heute kein Problem mehr ist. 

Eine besondere Aufgabe bei der Obertragung von medizinischen Daten ist es. die 
individuellen Personlichkeitsrechte des Patienten zu gewahrleisten. Die heute 
praktizierte Obertragung von medizinischen Informationen ist immer dann ille- 
gal, wenn sie nicht auf eine abgeschlossene medizinische Gruppe wie z. B. ein 
Krankenhaus oder eine Arztpraxis begrenzt ist. Ein Praxisnetz mit hunderten 
verschiedener Praxen und Krankenhausern als abgeschlossene Gruppe zu be- 
zeichnen ware im rechtlichen Sinne wohl als eine Umgehung der Personlich- 
keitsrechte von Patienten zu interpretieren. In diesem Fall hatte ein Patient kei- 
ne Moglichkeit. alle Gruppenmitglieder zu kennen, und kSnnte von seinem Recht 
der Auswahl einer anderen Gruppe. wie z. B. eines anderen Krankenhauses. 
kaum Gebrauch machen. 


Demnach liegt der Erfindung die Aufgabe zugrunde. ein Verfahren zum abgesi- 
cherten Zugriff auf Daten in einem Netzwerk anzugeben. bei dem nur der Inha- 
20 ber der Rechte an den Daten frei uber diese verfugen kann. 


30 


35 


Ein solches Verfahren ist im Patentanspruch 1 angegeben. Vorteilhafte Weiter- 
bildungen dieses Verfahrens finden sich in den Unteranspruchen 2 bis 16. 

Nach dem erfindungsgemajSen Verfahren kann allein der Inhaber der Rechte an 
bestimmten Daten Zugriffsrechte auf diese definieren. Die einmal gespeicherten 
Daten verbleiben an ihrem Speicherplatz und werden nicht zentralisiert gesam- 
melt. Ein Zugriff auf solche abgespeicherten Daten ist nur mit der Autorisierung 
des Inhabers der Rechte an diesen Daten mSglich. Fur medizinische Daten be- 
deutet dies z. B.. daJ3 sie an dem Ort ihrer Erstellung verbleiben und daJ5 andere 
Arzte nur mit der Erlaubnis des jeweiligen Patienten auf diese Daten zugreifen 
konnen. Eine solche Erlaubnis kann allgemein fur bestimmte Arzte oder auch 
nur fur den Einzelfall erteilt werden. Auch ist es moglich. eine einmal erteilte 
Erlaubnis wieder zu entziehen. 

Die Erfindung und vorteilhafte Weiterbildung werden nachfolgend anhand eines 
Beispiels unter Bezugnahme auf die Zeichnungen naher erlautert. Es zeigen: 
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1 Figur 1 einen beispielhaften Aufbau eines Netzwerks. in dem das erfln- 
dungsgemaJSe Verfahren Anwendung finden kann; 

Figur 2 die Erzeugung und Abspeicherung von Daten nach dem erfindungs- 

5 gemaJSen Verfahren; 

Figur 3 ein Beispiel einer erfolglosen Anfrage nach bestimmten Daten; 

Figur 4 den Abruf und die Erteilung von Zugriffsrechten an bestimmten 

Daten durch den Inhaber der Rechte an diesen Daten; 


Figur 5 ein Beispiel einer erfolgreichen Anfrage nach Daten und ihrer Ober- 

tragung an die anfragende Stelle. 

Im folgenden wird das erfindungsgemaJJe Verfahren am Beispiel eines Praxisnet- 
zes erlautert. Hier dient das System zur Versorgung einer Gruppe von Arzten mit 
den medizinischen Unterlagen ihrer Patienten. 

Auf das System konnen mehrere Arzte zugreifen, die jeweils einen Zugang auf 
ein Datenraum-Zugriffssystem haben mussen. Neben diesen Datenraum-Zu- 
griffssystemen weist das System einen Informationscenter auf. In der Figur 1 ist 
dieses System zur Vereinfachung mit lediglich zwei Datenraum-Zugriffssystemen 
1, 2 gezeigt, von denen eins eine Kennung DRZS1 und das andere eine Kennung 
DRZS2 aufweist. Solch ein Datenraum-Zugriffssystem 1, 2 kann am Arbeitsplatz 
eines oder mehrerer Arzte aufgebaut sein, z. B. ist in der Figur 1 gezeigt, daJ3 
das Datenraum-Zugriffssystem 2 in einer Arztpraxis eines Arztes B und das Da- 
tenraum-Zugriffssystem 1 einem Krankenhaus aufgebaut sind, in dem ein Arzt A 
eine Zugriffsberechtigung dafur besitzt. Jedes Datenraum-Zugriffssystem 1, 2 
kann uber ein Netzwerk 4 mit dem Informationscenter 3 oder einem anderen Da- 
tenraum-Zugriffssystem 1, 2 kommunizieren. 

Jedes Datenraum-Zugriffssystem 1, 2 enthalt einen sicheren Datenspeicher, in 
dem die medizinischen Daten von Patienten gespeichert werden konnen. Dieser 
Speicher ist dadurch zugriffgesichert, da3 ein Datenzugriff nur uber das erfin- 
dungsgemaJSe Verfahren erfolgen kann. wodurch ein DatenmUSbrauch mit in die- 
sem Speicher gespeicherten Daten nicht moglich ist. Weiter ist durch das erfin- 
dungsgemaJSe Verfahren gewahrleistet, da3 nur neue Daten gespeichert werden 
kOnnen, also nicht solche, die bereits in einem anderen Datenraum-Zugriffssy- 
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stem 1 2 gespeichert waren. Weiter kSnnen sowohl der jeweilige Arzt als auch 
der Patient unabhangig voneinander uber das Datenraum-Zugriffssystem 1. 2 
mit dem Informationscenter 3 oder einem anderen an das Netzwerk 4 ange- 
schlossenen Datenraum-Zugriffssystem 1. 2 kommunizieren. wobei nur ein Arzt 

Daten speichern kann. 

in dem informationscenter 3 werden Referenzen zu den Daten der Patienten und 
die dazugehorige Identifizierungsinformation der Patienten und Arzte zentrah- 

siert gespeichert. 

Die Sicherheit der einzelnen Datenubertragungen innerhalb dieses Systems wlrd 
uber eine Verschlusselung der Datenubertragungen zwischen alien Teilnehmern 
gewahrleistet. Hierbei wird jede innerhalb des Systems ubertragene Information 
mit einer digitalen Signatur versehen. Bei jedem Zugang wird eine Autorisierung 
15 verlangt. und alle Daten werden in verschlusselter Form ubertragen und gespei- 
chert. Jeder Teilnehmer. z. B. ein Arzt oder ein Patient, sowie das Informati- 
onscenter und jedes Datenraum-Zugriffssystem verfugen uber zwei Paare von of- 
fentlichen und geheimen Schiasseln zur Datenkodierung. Ein Paar dieser 
Schlussel. genannt die Verschlusselungsschlussel, wird fur die sichere Daten- 
20 ubertragung verwendet und das andere. namlich die Signaturschlussel. versieht 
die ubertragene Information und bestatigt dadurch den Absender mit einer digi- 
talen Signatur. Die geheimen Schlussel sind nur dem jeweiligen Teilnehmer. In- 
formationscenter oder Datenraum-Zugriffssystem bekannt. wohingegen die of- 
fentlichen Schlussel alien Teilnehmern zuganglich sind. d. h.. da* jeder in dem 
System vorhandene Teilnehmer die M6glichkeit hat. einen offentlichen Schlussel 
jedes anderen Teilnehmers zu bekommen. Immer. wenn ein Teilnehmer eine In- 
formation uber das Netzwerk versendet. wird das folgende Verfahren ausgefuhrt: 

1 Der Sender versieht die von ihm gesendete Information mit einer digitalen 
30 Signatur. indem er seinen geheimen Signaturschlussel verwendet. Hier- 

durch kann der Sender nicht nachgeahmt werden. wobei der Empfanger 
eine verwendete digitale Signatur mit Hilfe des affentlichen Signatur- 
schlussels bestatigen kann. Wenn z. B. ein Datenraum-Zugriffssystem dxe 
Information uber einen Patienten an das Informationscenter versendet. 
35 muj3 diese Information bei der Erzeugung von Daten ebenfalls mit dem ge- 

heimen Signaturschlussel dieses Patienten versehen sein. Hierdurch wird 
gesichert. daji die Information wirklich zu dem benannten Patienten ge- 
h6rt. und daj3 dieser der Obertragung dieser Information zustimmt. 
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1 2. Der Sender verschlusselt alle ubertragenen Daten mittels eines offentlichen 
Verschlusselungsschlussels des Empfangers, an den die Daten ubertragen 
werden. Hierdurch konnen diese ubertragenen Daten nur unter Verwen- 
dung des geheimen Verschlusselungsschlussels des Empfangers entschlus- 

5 selt werden. 

3. Immer. wenn ein Teilnehmer auf das System zugreift, muJS er autorisiert 
sein und seine Identitat bestatigt haben. Ein spezieller Datentrager, wie 
z. B. eine Chipkarte, kann zur Oberprufung der Identitat des Teilnehmers 

10 dienen. Naturlich konnen auch andere Verfahren zur Personenidentifizie- 

rung eingesetzt werden, wie z. B. die Spracherkennung, die Bilderkennung, 

^ die Erkennung von Fingerabdrucken etc., von denen jedes einzeln oder in 

M Kombination eingesetzt werden kann. 

15 Als sicherer Speicher fur die geheimen Schlussel eines Teilnehmers und andere 
personliche Information kann ebenfalls ein spezieller Datentrager, wie z. B. eine 
Chipkarte, eingesetzt werden. 

Die offentlichen Schlussel der Teilnehmer, des Informationscenter 3 und der ein- 
20 zelnen Datenraum-Zugriffssysteme 1, 2 konnen z. B. zentral in dem Informati- 
onscenter 3 gespeichert sein. 

Die Figur 2 zeigt die Erzeugung von Daten eines Patienten und den Vorgang, wie 
diese Daten im System zur Verfugung gestellt werden. 

Z. B. sucht der Patient N an einem Tag X den Arzt A auf und laJ3t eine neue me- 
dizinische Dateneinheit, z. B. ein Rontgenbild, erstellen. Wenn es der Patient N 
wunscht, kann diese Dateneinheit uber das Praxisnetz anderen Arzten zur Ver- 
fugung gestellt werden. In diesem Fall werden die zu speichernden Daten des 
30 Rontgenbildes in einem ersten Schritt SI in einer elektronischen Form zusam- 
men mit einem elektronischen Formular, welches den Typ der Daten enthalt, in 
dem Datenraum-Zugriffssystem 1 mit der Kennung DRZS1 des Arztes A gespei- 
chert. Der Typ der Daten besteht hier in der Angabe, daJ5 es sich um ein Ront- 
genbild des Patienten N handelt. das der Arzt A am Tag X aufgenommen hat. Es 
35 ist auch moglich, dajS der Typ der Daten lediglich aus einer dieser Angaben be- 
steht, oder daJ5 noch weitere Angaben hinzugefugt werden, wie z.B. die Kennung 
DRZS1 des die Daten speichernden Datenraum-Zugriffssystems 1. Die Daten des 
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1 Rontgenbildes werden zusammen mit dem elektronischen Formular in dem gesi- 
cherten Datenspeicher des Datenraum-Zugriffssystems 1 gespeichert. Das Spei- 
chern von Daten 1st nur bei einer Autorisierung des Inhabers der Rechte an die- 
sen Daten moglich. hierzu kann z. B. die Chipkarte des Patienten dienen. 

in einem zweiten Schritt S2 wird das Informationscenter 3 von dem Datenraum- 
Zugriffssystem 1 benachrichtigt, da* es neue Daten aufweist. namlich ein Ront- 
genbild des Patienten N. Eine solche Benachrichtigung kann entweder unrmttel- 
bar nach der Speicherung der neuen Daten oder zu einem bestimmten Zeitpunkt 
10 geschehen. z. B. regelmaJMg zu einer bestimmten Uhrzeit. Naturlich ist es auch 
moglich, da* das Informationscenter 3 zu bestimmten Zeitpunkten Anfragen an 
jedes Datenraum-Zugriffssystem 1. 2 schickt. ob neue Daten gespeichert wur- 

den. 

15 in einem dritten Schritt S3 registriert das Informationscenter 3 das ™den- 
sein des R6ntgenbilds des Patienten N vom Tag X mit der Verfagbarkext im Da- 
tenraum-Zugriffssystem 1 und weist diesen Daten eine nur einfach vorhandene 
Identifizierung zu. z. B. NXAX. wonach diese Identifizierung mit einer benach- 
richtigenden Bestatigung vom Informationscenter 3 an das Datenraum-Zugriffs- 
20 system 1 ubertragen wird. Im Datenraum-Zugriffssystem 1 wird die so zugevne- 
sene Identifizierung zur Verwaltung der zugeh6rigen Daten verwendet. mdem 
diese zu den Daten hinzugefagt wird. Cber eine entsprechende Konfiguration 
kann gewahrleistet werden. da* Daten nicht mehrfach im System vorhanden 
sind. Spatestens mit der Registrierung der Daten durch das Informationscenter 
3 erfolgt hier eine Oberprufung der Autorisierung der Datenspeicherung durch 
den Patienten. Im Falle der Nichtautorisierung werden keinem Teilnehmer Zu- 
griffsrechte auf diese Daten gewahrt. 

in der Figur 2. wie auch in den nachfolgenden Figuren bedeutet der hohle Pfeil 
30 eine CFbertragung von Daten in das Systen. da* hetft die Speicherung neuer Da- 
ten in einem Datenraum-Zugriffssystem 1. 2. und die normalen Pfeile jewexls 
eine Kommunikation uber das Netzwerk 4. wie z. B. eine Anfrage oder Benach- 
richtigungen. Es kann also anhand der Figur 2 erkannt werden. da* in dem be- 
schriebenen System die medizinischen Daten nicht in das Informationscenter 3 
35 kopiert werden. sondern nach ihrer Speicherung immer im Datenraum-Zugnffs- 
system 1 verbleiben. Das Informationscenter 3 halt nur die Referenzen zu diesen 
Daten und niemals die Daten selbst. Weiter wird in den Figuren eine Datenuber- 


MULLER & HOFFMANN 

Dr. Paul Pere 


• • • • 

• • • 4 

• • • • 


• • • • 

> 4 
• • 4 


.164 


• • * - K- * * • 
• • • • • • 

03.06. 1998 


1 tragung uber das Netzwerk 4 mittels neben normalen Pfeilen dargestellten 
Rechtecken angezeigt, in denen die jeweils ubertragenen Daten angegeben sind. 

Die Figur 3 zeigt den Versuch eines Datenzugriffs uber das Praxisnetz. 

5 

An einem Tag Y besucht der Patient N einen Arzt B, der ein Datenraum-Zugriffs- 
system 2 mit der Kennung DRZS2 besitzt. Dieser Arzt B benotigt z. B. ein aktu- 
elles Rontgenbild des Patienten N. Deshalb schickt er in einem Schritt S4 von 
seinem Datenraum-Zugriffssystem 2 eine Anfrage nach Rontgenbildern des Pati- 

10 enten N an das Informationscenter 3. Das Informationscenter 3 erstellt eine Li- 
ste der Referenzen zu alien Rontgenbildern des Patienten N, die zur Zeit im Ge- 
fl^^^ samtsystem vorhanden sind, d. h. in alien angeschlossenen Datenraum-Zugriffs- 
systemen 1, 2 gespeichert sind und vom Informationscenter 3 registriert wur- 
den. Anschliejiend uberpruft das Informationscenter 3 die Zugriffsrechte an den 

15 in dieser Liste aufgefuhrten Daten hinsichtlich des Arztes B, von dem die Anfra- 
ge uber Rontgenbilder des Patienten N kam, und ubertragt in einem Schritt S5 
lediglich die Referenzen der Rontgenbilder des Patienten N, auf die der Arzt B 
die Zugriffsrechte vom Pateienten N, der in diesem Fall der Inhaber der Rechte 
an seinen Daten ist f erteilt bekommen hat. Da in diesem Fall z. B. von dem Pati- 

20 enten N noch keine Zugriffsrechte fur seine Rontgenbilder definiert wurden, ist 
diese Liste leer. Deshalb sendet das Informationscenter 3 eine Nachricht "Keine 
Daten gefunden" an das Datenraum-Zugriffssystem 2. Dieses gibt diese Nach- 
richt an den Arzt B aus. 

T^^fcs Demnach kann ohne Zugriffsrechte des Patienten, der der Inhaber der Rechte an 
^^^T den gespeicherten Daten ist, kein Arzt das Vorhandensein der Daten im System 
erkennen. Eine Durchbrechung dieses fur bestimmte Daten, fur die im einzelnen 
Zugriffsrechte definiert wurden, sicheren Systems ist nur moglich, wenn der Pa- 
tient N z. B. allgemeine Zugriffsrechte auf seine gesamten Daten oder auf be- 
30 stimmte Daten im voraus an bestimmte Arzte gegeben hat. Auch in diesem Fall 
hat aber der Patient selbst bestimmt, wer auf seine Daten zugreifen kann, also 
wurden auch hier seine Datenschutzrechte gewahrt. 

Die Figur 4 stellt die Definition von Zugriffsrechten des Patienten in dem Infor- 
35 mationscenter 3 dar. 
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1 Der Patient N kann in einem Schritt S6 z. B. uber das Datenraum-Zugriffssy- 
stem 2 eine Liste aller seiner zur Zeit im Gesamtsystem zur Verfugung stehen- 
den Daten vom Informationscenter 3 abrufen. Alternativ kann er auch nur eine 
Liste von bestimmten Daten abrufen. In einem Schritt S7 verarbeitet das Infor- 
5 mationscenter diese Anfrage und sendet die jeweils geforderte Liste an das Da- 
tenraum-Zugriffssystem 2. Der Patient N kann jetzt Zugriffsrechte an den durch 
die Liste aufgezeigten Daten deflnieren. Hat er z. B. eine Liste aller seiner Ront- 
genbilder angefordert, so kann er deflnieren, daJ5 der Arzt B und/oder jeder an- 
dere Arzt oder eine bestimmte Gruppe von Arzten auf das am Tag X vom Arzt A 
10 gefertigte Rontgenbild mit der Identifizierung NXAX zugreifen kann. Ein solches 
Zugriffsrecht kann zeitlich begrenzt oder unbegrenzt sein. Das Zugriffsrecht 
kann auch im voraus fur andere in der Zukunft zur Verfugung stehende Daten 
vergeben werden. Hat der Patient N alle gewunschten Zugriffsrechte definiert, so 
kann er in einem Schritt S8 tiber das Datenraum-Zugriffssystem 2 eine Aktuali- 
15 sierung der Zugriffsrechte im Inforamationscenter 3 bewirken. Das Informati- 
onscenter 3 speichert in einem Schritt S9 die Anderungen und sendet eine Be- 
statigung zuruck an das Datenraum-Zugriffssystem 2. 

Diese Zugriffsrechte konnen alternativ auch zu dem Zeitpunkt vergeben werden, 
20 zu dem neue Daten in einem Datenraum-Zugriffssystem 1. 2 gespeichert werden. 
Ein Patient oder sonstiger Inhaber von Rechten an in einem Datenraum-Zugriffs- 
system 1, 2 gespeicherten Daten kann Zugriffsrechte von jedem beliebigen Da- 
tenraum-Zugriffssystem 1, 2 aus vergeben. Denkbar ware es z. B., daJS solche 
Datenraum-Zugriffssysteme 1. 2 neben ihrem Standort in Arztpraxen oder Kran- 
kenhausern auch in Apotheken aufgestellt werden. oder daJ5 auf ein Praxisnetz 
auch uber das Internet zugegriffen werden kann, wodurch jeder internetfahige 
Computer zu einem Datenraum-Zugriffssystem oder zumindest zu einem Zu- 
griffssystem werden konnte. welches keinen Speicherplatz zur Verfugung stellt. 
Der Inhaber der Rechte an in einem Datenraum-Zugriffssystem 1. 2 gespeicher- 
30 ten Daten. hier also der Patient, ist aufgrund seiner Autorisierung und Identifi- 
kation die einzige Person, der die Zugriffsrechte vom Informationscenter 3 ange- 
zeigt werden und/oder die sie im Informationscenter 3 modifizieren kann. 

Die Figur 5 zeigt den fur einen erfolgreichen Zugriff auf bestimmte Daten noti- 
35 gen Ablauf. 
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1 Nach der Definition der Zugriffsrechte an den am Tag X vom Arzt A aufgenom- 
menen Rontgenbild des Patienten N mit der Identiflzierung NXAX fur den Arzt B 
durch den Patienten N startet der Arzt B in einem Schritt S10 eine erneute An- 
frage an das Informationscenter, alle Referenzen zu den Rontgenbildern des Pati- 
5 enten N anzugeben. In einem Schritt Sll stellt das Informationscenter eine Liste 
der Referenzen aller zur Zeit in alien Datenraum-Zugriffssystemen vorhandenen 
Rontgenbilder des Patienten N zusammen, uberpruft die Zugriffsberechtigungen 
hinsichtlich des anfragenden Arztes B und wahlt lediglich die Rontgenbilder aus, 
auf die der Arzt B zugreifen darf, um die zugehdrigen Referenzen an das Daten- 
10 raum-Zugriffssystem 2 zu ubertragen. von dem aus der Arzt B die Anfrage an 
das Informationscenter ausgefuhrt hat. In diesem Fall wird z. B. nur die Identifi- 
. zierung NXAX des am Tag X vom Arzt A erstellten Rontgenbildes des Patienten N 
m zusammen mit dem Speicherort/der Adresse, hier das Datenraum-Zugriffssy- 
stem 1 mit der Kennung DRZS1, an das Datenraum-Zugriffssystem 2 ubertra- 
15 gen, welches dem Arzt B diese Information anzeigt. Der Arzt B kann also nur die 
Referenzen zu Daten sehen, auf die der Patient N dem Arzt B Zugriffsrechte ge- 
wahrt hat. Die Referenzen konnen z. B. die Art der Daten, hier Rontgenbild, das 
Datum der Untersuchung, hier den Tag X, den untersuchenden Arzt, hier den 
Arzt A, den Speicherort der Daten, hier das Datenraum-Zugriffssystem 1 mit der 
20 Kennung DRZS1, oder auch noch weitere Daten enthalten. In einem Schritt S12 
wahlt der Arzt B das Rontgenbild mit der Identiflzierung NXAX aus, woraufhin 
das Datenraum-Zugriffssystem 2 eine Anfrage des Arztes B uber das Rontgenbild 
mit der Identiflzierung NXAX an das Datenraum-Zugriffssystem mit der Kennung 
DRZS1, hier das Datenraum-Zugriffssystem 1 sendet. In einem Schritt S13 sen- 
det das Datenraum-Zugriffssystem 1 daraufhin eine Anfrage an das Informati- 
onscenter 3, um zu bestatigen, daJ5 der Arzt B die Zugriffsrechte auf das Ront- 
genbild mit der Identiflzierung NXAX besitzt. Das Informationscenter 3 antwortet 
in einem Schritt S14 mit einer Bestatigung, woraufhin das Datenraum-Zugriffs- 
system 1 in einem Schritt SI 5 die Daten des Rontgenbildes mit der Identifizie- 
30 rung NXAX an das Datenraum-Zugriffssystem 2 ubertragt. Dieses stellt die emp- 
fangenen Daten des Rontgenbildes in akzeptabler Form dar und/oder laJSt den 
Arzt B die Daten zur weiteren Verarbeitung speichern, wobei eine solche Spei- 
cherung nicht in dem sicheren Speicher des Datenraum-Zugriffssystems 2, son- 
dern auf einem anderen Speichermedium erfolgen muJ3. denn sonst waren die 
35 Daten mehrfach im System vorhanden. 
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Hat eine berechtigte Person die empfangenen Daten einmal fur die weltere Verar- 
beitung gespeichert. so kann sie naturlich immer wieder auf dlese gespeicherten 
Daten zugreifen. Ein Zugriff uber das Praxisnetz 1st jedoch nur solange moglich, 
wle es der Inhaber der Rechte an dlesen Daten uber die Definition der Zugriffs- 
rechte erlaubt. 

Da also nach dem erfindungsgemajSen Verfahren ein Speichern von bestimmten 
Daten nur mit der Zustimmung des Inhabers der Rechte an diesen Daten mog- 
lich ist und auch ein Abrufen solcher Daten nur mit Zustimmung des Inhabers 
der Rechte an diesen Daten moglich ist. werden die Personlichkeitsrechte z. B. 
eines Patienten gewahrt. Das System arbeitet far jeglichen Benutzer voUkommen 
transparent, wobei der einzelne Benutzer keine Kenntnisse uber die Sicherheits- 
oder CJbertragungsverfahren haben mufi. Durch die Verschlusselung der gesen- 
deten Daten konnen unberechtigte Personen nicht "mithoren" und durch die De- 
finition von bestimmten Zugriffsrechten fur bestimmte Daten durch den Inhaber 
der Rechte an ihnen konnen keine unberechtigten Datenzugriffe geschehen. 


Das erfindungsgemaJSe Verfahren zum abgesicherten Zugriff auf Daten in einem 
Netzwerk kann naturlich auch auf andere nicht-medizinische Netzwerke ange- 
20 wandt werden. da hier ein System zur Steuerung der Verteilung individueller 
Daten vorgeschlagen ist. Ein anderer Anwendungsbereich ist z. B. die Verteilung 
von Personendaten zu ihrer Identifikation. wodurch die Obertragung dieser Da- 
ten z. B. zwischen unterschiedlichen Verwaltungsbehorden ohne eine zentrali- 
sierte Datenbank der einzelnen Burger flexibler gestaltet werden kann. Durch 
das erfindungsgemajie System hat der nur betroffene Burger selbst und allein 
die Verfugungsgewalt uber seine individuellen Daten. 


30 
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Patentanspriiche 

1 1 . Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk mit einem 
Informationscenter (3) und wenigstens einem Datenraum-Zugriffssystem (1, 
2), dadurch gekennzeichnet, daJ5 allein der Inhaber der Rechte an zu spei- 
chernden Daten das Speichern dieser Daten in einem ihm hierzu nicht zu- 

5 ganglichen Datenraum-Zugriffssystem (1,2) erlauben und die Zugriffsrechte 

Dritter auf diese Daten in einem Informationscenter (3) definieren kann. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daJ5 eine Autorisie- 
rung der Speicherung von Daten und der Definition der Zugriffsrechte Dritter 

*0 an den Daten uber eine Identitatsprufung des Inhabers der Rechte an den 

W Daten erfolgt. 

3. Verfahren nach Anspruch 1 oder 2. dadurch gekennzeichnet, da£ zu spei- 
chernde Daten zusammen mit einem elektronischen Formular, welches den 

15 Typ der Daten enthalt, in dem Datenraum-Zugriffssystem (1) gespeichert 

werden. 

4. Verfahren nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, da3 
das Informationscenter (3) das Vorhandensein von Daten eines bestimmten 

20 Typs in einem Datenraum-Zugriffssystem (1) registriert, wonach der Inhaber 

der Rechte an den gespeicherten Daten in dem Informationscenter (3) Zu- 
griffsrechte Dritter auf die Daten definieren kann. 

5. Verfahren nach einem der Anspruche 1 bis 4, dadurch gekennzeichnet, daj* 
25 das Informationscenter (3) nach einer Anfrage eines anfragenden Datenraum- 
Zugriffssystem (2) nach Daten eines bestimmten Typs eine Liste der vorhan- 
denen Daten dieses bestimmten Typs unter Angabe des diese Daten jeweils 
speichernden Datenraum-Zugriffssystems (1) an das anfragende Datenraum- 
Zugriffssystem (2) ubertragt. fur die die Zugriffsrechte des anfragenden Da- 

30 tenraum-Zugriffssystem (2) zu den im Informationscenter (3) fur diese Daten 

definierten Zugriffsrechten korrespondieren. 


6. 


Verfahren nach einem der Anspruche 1 bis 5, dadurch gekennzeichnet, dajS 
von einem Daten speichernden Datenraum-Zugriffssystem (1) bei einer An- 
frage nach bestimmten Daten eines bestimmten Typs eines anfragenden Da- 
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1 tenraum-Zugriffssystems (2) eine Oberprufung der Zugrlffsrechte durch eine 

Anfrage an das Informationscenter (3) erfolgt. ob das anfragende Datenraum- 
Zugriffssystem auf die bestimmten Daten eines bestimmten Typs Zugrlffs- 
rechte hat, und die bestimmten Daten eines bestimmten Typs von dem diese 

5 Daten speichernden Datenraum-Zugriffssystem (1) nur an das anfragende 

Datenraum-Zugriffssystem (2) ubertragen werden. wenn das diese Daten 
speichernde Datenraum-Zugriffssystem (1) von dem Informationscenter (3) 
eine Bestatigung erhalten hat. 

10 7. Verfahren nach einem der Anspruche 1 bis 6, dadurch gekennzeichnet. daji 
ein bestimmte Daten eines bestimmten Typs empfangendes Datenraum-Zu- 
griffssystem (2) nur direkt nach einem jeweiligen Datenempfang einen Zugriff 
auf die empfangenen Daten erlaubt. 

15 8 Verfahren nach einem der Anspruche 1 bis 7, dadurch gekennzeichnet, daj5 
von einem bestimmte Daten eines bestimmten Typs selbst speichernden Da- 
tenraum-Zugriffssystem (1) ein Zugriff auf die bestimmten Daten eines be- 
stimmten Typs nur gewahrt wird. wenn eine positive Oberprufung der Zu- 
grlffsrechte durch eine Anfrage an das Informationscenter (3) erfolgt ist, ob 
20 das die bestimmten Daten eines bestimmten Typs selbst speichernde Daten- 

raum-Zugriffssystem (1) fur die bestimmten Daten eines bestimmten Typs 
Zugrlffsrechte vorweisen kann. 

9. Verfahren nach einem der Anspruche 1 bis 8, dadurch gekennzeichnet, daji 
das informationscenter (3) von einem neue Daten aufweisenden Datenraum- 
Zugriffssystem (1) fiber das Vorhandensein neuer Daten eines bestimmten 
Typs benachrichtigt wird. woraufhin das Informationscenter (3) eine benach- 
richtigenden Bestatigung an das betreffende Datenraum-Zugriffssystem (1) 
sendet. 

10. Verfahren nach einem der Anspruche 1 bis 9. dadnrch gekennzeichnet, daJ3 
die Daten anhand einer vom Informationscenter (3) zugewiesenen nur einfach 
vorhandenen Identifizierung identifiziert werden, die von dem Informati- 
onscenter (3) nach einer Registrierung von neuen Daten an das diese Daten 
35 speichernde Datenraum-Zugriffssystem (1) ubertragen wird, damit dieses die 

jeweilige Identifizierung an die jeweiligen Daten anhangt. 
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1 11. Verfahren nach einem der Anspruche 1 bis 10, dadurch gekennzeichnet, 
daJ5 das Informationscenter (3) nach einer Anfrage uber Daten eines be- 
stimmten Typs von einem Datenraum-Zufgriffssystem (2) eine Liste aller vor- 
handenen Daten dieses bestimmten Typs erstellt. bevor es die Zugriffsrechte 

5 auf die Daten des bestimmten Typs uberpruft, um die Liste der vorhandenen 

Daten dieses bestimmten Typs unter Angabe des diese Daten jeweils spei- 
chernden Datenraum-Zugriffssystems (1) an das anfragende Datenraum-Zu- 
griffssystem (2) zu ubertragen, fur die das anfragende Datenraum-Zugriffssy- 
stem (2) die Zugriffsrechte vorweisen kann. 

10 

12. Verfahren nach einem der Anspruche 1 bis 11, dadurch gekennzeichnet, 

dajS bei einem gewunschten Datenzugriff von einem Datenraum-Zugriffssy- 
stem (1) auf Daten eines bestimmten Typs zunachst eine Anfrage nach sol- 
chen Daten des bestimmten Typs an das Informationscenter (3) geschickt 
15 wird. 

13. Verfahren nach einem der Anspruche 1 bis 12, dadurch gekennzeichnet, 

daJ3 bei einer gewunschten Datenubertragung von einem Daten speichernden 
Datenraum-Zugriffssysten (1) an ein anfragendes Datenraum-Zugriffssystem 
20 (2) von diesem zunachst eine Anfrage nach bestimmten Daten eines bestimm- 

ten Typs an das diese bestimmten Daten eines bestimmten Typs speichernde 
Datenraum-Zugriffssystem (1) geschickt wird. 

14. Verfahren nach einem der Anspruche 1 bis 13, dadurch gekennzeichnet, 
5 daJ3 die Daten in einem Datenraum-Zugriffssystem (1, 2) in einem sicheren 

Datenspeicher gespeichert werden, wobei auf die darin gespeicherten Daten 
kein direkter Zugriff moglich ist. 

15. Verfahren nach einem der Anspruche 1 bis 14, dadurch gekennzeichnet, 

30 dajS der Typ der Daten durch ihren Inhalt und/oder den Inhaber der Rechte 

an den Daten bestimmt wird. 

16. Verfahren nach einem der Anspruche 1 bis 15, dadurch gekennzeichnet, 

daji die Zugriffsrechte an gespeicherten Daten durch den Inhaber der Rechte 
35 an den Daten zu einem beliebigen Zeitpunkt nach ihrer Registrierung in dem 

Informationscenter (3) definiert werden konnen und danach durch eine Neu- 
definition von dem Inhaber der Rechte an den Daten beliebig wieder ge£ndert 
werden konnen. 
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17. Verfahren nach einem der Anspruche 1 bis 16, dadurch gekennzeichnet, 

daJ5 die Zugriffsrechte an gespeicherten Daten durch den Inhaber der Rechte 
an den Daten mit ihrer Speicherung in einem Datenraum-Zugriffssystem (1, 
2) vergeben werden konnen. 

18. Verfahren nach einem der Anspruche 1 bis 17. dadurch gekennzeichnet, 
da$ die Kommunikation zwischen einem Datenraum-Zugriffssystem (1. 2) 
und dem Informationscenter (3) oder einem anderen Datenraum-Zugriffssy- 
stem (2, 1) verschlusselt erfolgt. 

19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, daJ3 der Sender die 
von ihm gesendete Information mittels einem geheimen Signaturschlussels 
mit einer digitalen Signatur versieht, wodurch der Empfanger die gesendete 
Information mittels eines dazugehorenden offentlichen Signaturschlussels 
uberprufen kann. 


20. Verfahren nach Anspruch 18 oder 19, dadurch gekennzeichnet, da3 da£ 
der Sender alle ubertragenen Daten mittels eines vom Empfanger ausgegebe- 
nen offentlichen Verschlusselungsschlussel kodiert, wodurch nur der Emp- 
20 fanger die ubertragenen Daten mittels eines geheimen Verschlusselungs- 

schlussels dekodieren kann. 


21. Verfahren nach einem der Anspruche 18 bis 20, dadurch gekennzeichnet, 

da3 sowohl jedes Datenraum-Zugriffssystem (1, 2) und das Informationscen- 
5 ter (3) als auch jeder Teilnehmer je einen geheimen und je einen offentlichen 

Signaturschlussel und Verschlusselungsschlussel aufweisen. 

22. Verfahren nach Anspruch 21, dadurch gekennzeichnet, da£ die geheimen 
Signaturschlussel und Verschlusselungsschlussel und/oder offentlichen Si- 
gnaturschlussel und Verschlusselungsschlussel eines Teilnehmers auf einem 
Datentrager, wle z. B. einer Chipkarte, gespeichert sind. 


35 


23. Verfahren nach einem der Anspruche 1 bis 22, dadurch gekennzeichnet. 

dajS sich ein auf das Netzwerk zugreifender Teilnehmer autorisieren muJ3 und 
seine Identitat vom Informationscenter uberpruft wird. 
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1 24. Verfahren nach Anspruch 23, dadurch gekennzeichnet, daJ3 die Identit&t ei- 
nes Teilnehmers auf einem Datentrager, wie z. B. einer Chipkarte, gespei- 
chert 1st. 

5 25. Verfahren nach einem der Anspruche 1 bis 24, dadurch gekennzeichnet, 
da3 die Erlaubnis der Speicherung der Daten durch den Inhaber der Rechte 
an den Daten spatestens bei einer Registrierung der Daten in dem Informati- 
onscenter (3) erfolgt, wobei das Informationscenter (3) ohne korrekte Autori- 
sierung keinen sp&teren Datenzugriff auf diese Daten erlaubt. 
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Zusammenfassung 


Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk 


Durch das erfindungsgemaJ3e Verfahren werden die Datenschutzrechte an insbe- 
sondere personenbezogenen Daten gewahrt, die in einem Netzwerk mit verteilten 
Speichern zur Verfugung stehen. Das Verfahren basiert auf der Vergabe mit Wi- 
derrufsm6glichkeit von Inhaber-Zugriffsrechten auf die in dem Netzwerk zur Ver- 
fugung stehenden Daten. sowie der Speicherung von Daten innerhalb des Netz- 
werkes nur nach Autorisierung durch den Inhaber der Rechte an den Daten. Bei 
einer Anfrage nach bestimmten Daten kSnnen nur die Referenzen derjenigen Da- 
tensatze angegeben werden. auf die der Anfragende auch die Zugriffsrechte be- 
sitzt. wobei vorhandene Daten ohne Zugriffsrechte nicht erkannt werden kon- 
nen. Soli auf bestimmte Daten zugegriffen werden. so kann wiederum eine Ober- 
prufung der Zugriffsrechte erfolgen. bevor ein Datenzugriff erlaubt wird. 


(Fig. 5) 
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